Sean Deuby | Leitender Technologe

Wenn Sie einen Active Directory-Administrator in Verlegenheit bringen wollen, fragen Sie ihn nach seinem Wiederherstellungsplan.

Wenn Sie diese Frage stellen, werden Ihnen viele AD-Administratoren stattdessen von ihrem Objektwiederherstellungsplan erzählen. Einige werden ihre Verfahren zur Wiederherstellung von Domänencontrollern beschreiben. Aber wenn Sie weiter nachfragen, ob sie einen Plan für die Wiederherstellung einer Domäne oder eines Forests entwickelt haben, wird weniger als einer von zehn zugeben, dass dies der Fall ist. Noch weniger werden sagen, dass sie es tatsächlich getestet haben.

Warum erstellen und testen so wenige Unternehmen einen Notfallwiederherstellungsplan für eine der zweifellos wichtigsten Softwareinstallationen eines Unternehmens?

Dafür gibt es zwei Hauptgründe. Erstens ist AD als zentraler Infrastrukturdienst äußerst zuverlässig. Es handelt sich um eine verteilte Anwendung mit mehreren Instanzen, und der Ausfall einer oder mehrerer dieser Instanzen verhindert nicht, dass der Dienst weiterläuft. In einem ordnungsgemäß gewarteten AD-Forest ist der Ausfall einer Domäne oder eines Forests (ohne Einmischung von außen) ein seltenes Ereignis.

Zu diesem Mangel an Disaster Recovery-Planung kommt noch hinzu, dass im Falle einer Active Directory-Katastrophe - dem Verlust einer Domäne oder eines Forests - die Wiederherstellung eine ausgesprochen nicht-triviale Aufgabe ist. Microsofts Planung für Active Directory Forest Recovery Dokument von Microsoft ist 47 Seiten lang und weit davon entfernt, ein operatives Verfahren zu sein. Es handelt sich um ein übergeordnetes Verfahren und eine Reihe von Richtlinien, die Sie umfassend an Ihre Umgebung anpassen müssen. Die Ernsthaftigkeit dieses Dokuments erkennen Sie daran, dass es davon ausgeht, dass Sie - noch bevor Sie mit den darin beschriebenen Maßnahmen beginnen - mit dem Microsoft-Support gesprochen haben, um die Ursache zu ermitteln und Ratschläge zu erhalten, ob Sie fortfahren sollten.

Lassen Sie sich von diesen Hindernissen nicht abschrecken. Lassen Sie es mich klar sagen: Wenn Sie keinen Notfallplan für Active Directory erstellen, testen und pflegen, machen Sie Ihren Job nicht. Wenn Sie immer noch zögern, stellen Sie sich vor, dass Sie nach einem Notfall in einen plüschigen Konferenzraum gerufen werden, wo Ihr Vorgesetzter und alle Manager bis hin zum CIO Sie fragen werden, warum Sie nicht für diesen Fall geplant haben. Das ist das klassische "lebenslauffördernde Ereignis".

Die Wiederherstellung einer Domäne oder eines Forests umfasst die folgenden Schritte:

  1. Finden Sie heraus, was die Ursache für den Zusammenbruch von AD war. Wenn Sie nicht wissen, warum es zusammengebrochen ist, können Sie den nächsten Schritt nicht ausführen und haben keine andere Wahl, als Ihren Forest von Grund auf neu zu erstellen und nicht wiederherzustellen. Die meisten Unternehmen erholen sich nie davon.
  2. Ermitteln Sie ein Sicherungsdatum, von dem AD wiederhergestellt werden kann (bevor es kaputt ging). Wichtigster Punkt: Wenn Sie keine gute Backup-Strategie und keinen guten Prozess haben, sitzen Sie im Rebuild-Szenario fest.
  3. Stellen Sie eine "Startdomäne" oder einen Forest mit einem DC für jede Domäne in einem isolierten Netzwerk wieder her.
  4. Verbinden Sie den Seed mit dem Netzwerk und stellen Sie vorhandene DCs im Seed wieder her.

In diesem Prozess auf hohem Niveau steckt eine Menge Arbeit. Schließen Sie sich in einem Raum ein und denken Sie gründlich darüber nach; stellen Sie sich vor, Sie würden dieses Szenario in der realen Welt durcharbeiten. Auch bei der Wiederherstellung gibt es viele Stolpersteine. Wenn Sie beispielsweise den Seed Forest an das Unternehmensnetzwerk anschließen, müssen Sie ihn weiterhin von den Benutzern isolieren, während Sie seine Kapazität ausbauen. Andernfalls schmelzen die Seed Forest DCs zusammen und Sie können keine weiteren hinzufügen, da jeder Benutzer im Unternehmen versucht, sich beim Netzwerk anzumelden.

Sobald Sie das Verfahren in dem Dokument angepasst haben, müssen Sie ein einigermaßen anspruchsvolles Testlabor aufbauen und Ihr Verfahren testen, um es zu verfeinern und weitere Problembereiche aufzudecken, an die Sie bei der Planung nicht gedacht haben. Dies ist ein Projekt, das Wochen in Anspruch nimmt. Es ist so umfangreich, dass Microsoft es als Teil des ADRES (AD Recovery Execution Service) anbietet, einem 5-tägigen Service, der sich auf AD-Wiederherstellungsprobleme konzentriert.

Ja, die Planung der Wiederherstellung von Active Directory ist eine gewaltige Aufgabe. Aber Sie müssen es tun. Wenn Sie ein IT-Manager sind, fragen Sie Ihr AD-Team, ob es einen Wiederherstellungsplan hat. Wenn Sie sie dabei erwischen, helfen Sie ihnen, ihn zu finanzieren oder zu priorisieren! Ich stelle mir AD DR so vor, wie wir uns eine Versicherung vorstellen: Sie hoffen, dass Sie sie nie brauchen werden, und die meisten brauchen sie auch nicht. Aber wenn Sie sie brauchen, brauchen Sie sie wirklich .